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Prufungsantrag gem. § 44 PatG ist gestellt 

(5$) Fehlertolerante Regel- und/oder Steuerungseinrichtung fur ein physikalisches System, insbesondere 
Fahrdynamikregeleinrichtung fur ein Kraftfahrzeug 

@ Die Erfindung bezieht sich auf eine RegeJ- und/oder 

Steuerungseinrichtung mit einer in Abhangigkeit von zuge- 

fiihrten ZustandsgrdBenwerten arbeitenden Reglereinheit 

und einer Zustandsgro&enermittlungseinheit zur Ermittlung 

der der Reglereinheit zuzufuhrenden Zustandsgro&enwerte, 

wobei die jeweilige ZustandsgroSe iiber einen oder zwei 

parallele physikalische Kanale gemessen und/oder iiber 

einen analytischen Kanal geschatzt wird. 

ErfindungsgemaG beinhaltet die ZustandsgroSenermitt- 

lungseinheit ein FehlerbehandJungsfilter, das steuerbar die 

Zufuhrung der ZustandsgroBenwerte zur Reglereinheit fret- 

gibt oder biockiert, sowie eine Fehlererkennungs- und 

-isolationslogikeinheit, die einen in einem Kanal auftreten- 

den Fehier erkennt und fur wenigstens eine iiber zwei 
^ parallele physikalische Kanale und einen analytischen Kanal 

redundant errnittelte Zustandsgro&e einen dort erkannten 

Fehier mittels einer Einheit zur Erzeugung funktionaler 
<\| Redundanz oder einer Beobachtereinheit des analytischen 
^1" Kanals isoiiert und die das Fehlerbehandlungsfilter zur 

Blockierung des zum erkannten bzw. isolierten Fehier geho- 
O rigen Kanals ansteuert. Dabei ist die RegeJeinheit zum 
{g) Betrieb in unterschiedlichen Regelgutestufen abhangig da- 
von. welche der Kanale als fehlerfrei erkannt sind, ausgelegt. 
^ m Verwendung z. B. als Fahrdynamikregeleinrichtung fur ein 
Kraftfahrzeug. 
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Die Erfindung bezieht sich auf eine fehlenolerant 
ausgelegte Regel- und/oder Steuerungseinrichtung fur 
ein physikalisches System nach dem Oberbegriff des 
Anspruchs 1, beispielsweise in Form einer Fahrdyna- 
mikregeleinrichtung fur ein Kraftfahrzeug. 

Es ist bekannt, die ein zu regelndes physikalisches 
System charakterisierenden, der Reglereinheit zuge- 
fuhrten ZustandsgrdBen zur Bereitstellung von Fehler- 
toleranz redundant iiber mehrere Ermittlungskanale 
parallel zu ermitteln. Damit die Einrichtung fur eine 
derartige, redundant ermittelte ZustandsgroBe neben 
einer Fehlererkennung auch eine Fehlerisolation, d h. 
eine Bestimmung desjenigen KanaJs, in welchem ein er- 
kannter Fehler aufgetreten ist, durchzufuhren vermag, 
sind mindestens drei parallele, voneinander unabhangi- 
ge Ermittlungskanale erforderlich. Denn bei nur zwei 
parallelen Kanalen mit voneinander abweichenden Zu- 
standsgroBenwerten laBt sich der fehlerbehaftete Kanal 
nicht ohne weitere ZusatzmaBnahmen ausreichend si- 
cher erkennen. Es ist daher bereits bekannt, eine Zu- 
standsgroBe iiber drei parallele physikalische Kanale, 
d h. drei unterschiedliche Sensoren, zu erfassen und an- 
schlieBend iiber eine Voter-Logik den gegebenenfails 
fehlerbehafteten Kanal wegzuschalten und ais Zu- 
standsgrdBenwert einen der Werte der beiden anderen 
Kanale oder einen aus einer Verknupfung dieser beiden 
Werte erhaltenen Wert zu verwenden. Problempunkte 
einer solchen physikalischen Dreikanaligkeit sind aller- 
dings der damit einhergehende erhdhte Realisierungs- 
aufwand, das sich daraus ergebende erhdhte Gewicht 
der Sensorik und deren erhohter Platzbedarf, die Ge- 
fahr der Reduzierung der Gesamtsystemzuverlassigkeit 
und die Anforderung, die Voter-Logik selbst fehlertole- 
rant auszulegen. 

Als Ausweg wurde bereits das Konzept der soge- 
nannten analytischen Redundanz vorgeschlagen, bei der 
die Dreikanaligkeit zur Ermittlung einer ZustandsgroBe 
durch zwei physikalische Kanale und einen analytischen 
Kanal bereitgesteilt wird. In einem solchen analytischen 
Kanal wird auf der Grundlage eines mathematischen 
Modells oder einer Wissensbasis redundante Informa- 
tion generiert, wobei dem analytischen Kanal eingangs- 
seitig die erforderlichen ZustandsgroBenwerte je nach 
verwendetem Modell zugefiihrt werden. Der analyti- 
sche Kanal kann ein einfacher funktionaler Kanal sein, 
der die relevante redundante Information anhand eines 
vorgegebenen funktionalen Zusammenhangs aus den 
eingangsseitig zugefuhrten ZustandsgroBenwerten be- 
stimmt Alternativ bzw. weiterfiihrend sind sogenannte 
Beobachterkonzepte bekannt, bei denen der analytische 
Kanal von einem sogenannten Beobachter bereitge- 
steilt wird, in welchem das gesamte oder Teile des zu 
regelnden physikalischen Systems modelliert und dar- 
aus ein Schatzwert der relevanten ZustandsgroBe ge- 
wonnen wird, wobei eine nachgeschaltete oder inte- 
grierte Entscheidungslogik die Ausgangssignale der 
physikalischen Kanale mit dem zugehorigen Ausgangs- 
signal des oder der Beobachtereinheiten vergleicht und 
auf diese Weise eine Fehlererkennung bzw. -lokalisation 
vornimmt Als Beobachter werden beispielsweise Kal- 
man-Filter verwendet. 

Derartige Regeleinrichtungen sind beispielsweise in 
den Zeitschriftenartikeln P.M. Frank "Sicherheit aus 
dem Rechner", Elektrotechnik, 68, H. 9, 30.05.1986, Seite 
26 und J.C. Debaat und W.G Merrill, "Implementation of 
Sensor Failure Detection for Turbofan Engines", IEEE 



Control Systems | Pmc, Juni 1990, Seite 29 beschrie- 
ben. 

In der Offenlegungsschrift DE42 26 749A1 ist ein 
Verfahren zur Schatzung des Schwimmwinkeis fur ein 
5 Fahrzeug offenbart, bei dem diese Schatzung mittels 
eines Beobachters durchgefuhrt wird, dem hierzu als 
Eingangsinformationen die Langsbeschleunigung, die 
Raddrehzahien, die Querbeschleunigung und die Gier- 
winkelgeschwindigkeit des Fahrzeugs zugefuhrt wer- 
io den. 

In der Offenlegungsschrift DE42 14 642A1 ist ein 
Fahrdynamikregelungsverfahren beschrieben, bei dem 
eine ZustandsgroBe zum einen durch Messung iiber ei- 
nen physikalischen Kanal und zum anderen durch 
15 Schatzung iiber einen analytischen Kanal ermittelt wird, 
wobei als maBgebiicher ZustandsgroBenwert derjenige 
des analytischen Kanals verwendet wird, wenn der phy- 
sikalische Kanal ausfallt, wahrend ansonsten derjenige 
des physikalischen Kanals verwendet wird. 

20 Aus den Offenlegungsschriften DE41 00501 Al und 
DE 42 44 014 Al sind Verfahren und Einrichtungen zum 
Erkennen und gegebenenfails Identifizieren von Feh- 
lern in ZustandsgroBensensorkanalen offenbart, bei de- 
nen redundante, geschatzte ZustandsgroBeninformatio- 

25 nen unter Verwendung einer Assoziationsmatrix bzw. 
eines neuronalen Netzwerks generiert werden. 

Aus der Offenlegungsschrift DE 42 00 061 Al ist die 
Verwendung eines analytischen Kanals zur Schatzung 
der Quergeschwindigkeit und/oder des Schwimmwin- 

30 kels eines Fahrzeugs bekannt, wobei als Eingangsgro- 
Ben der Lenkwinkel, die Langsgeschwindigkeit, die 
Gierwinkelgeschwindigkeit und die Querbeschleuni- 
gung des Fahrzeugs oder alternativ die gemessenen 
oder geschatzten Bremsdriicke sowie die Radgeschwin- 

35 digkeiten verwendet werden. 

In der Offenlegungsschrift DE43 40 746A1 ist eine 
Diagnoseeinrichtung fur ein dynamisches System, insbe- 
sondere eine Einrichtung zur Diagnose der Reifenluft- 
drucke oder von Anderungen des Fahrzeugaufbauge- 

40 wichts, offenbart, bei der ein Beobachterkonzept zur 
Storungsermittlung eingesetzt wird. 

Der Erfindung liegt als technisches Problem die Be- 
reitstellung einer Regeleinrichtung der eingangs ge- 
nannten Art zugrunde, welche hinsichtlich der Ermitt- 

45 lung wenigstens einer relevanten ZustandsgroBe 
zwecks Fehlertoleranz wenigstens dreikanalig redun- 
dant ausgelegt ist, welche die Erkennung und gegebe- 
nenfails Isolation fehlerbehafteter Kanale sowie einen 
in seiner Giite auf die jeweils noch als fehlerfrei erkann- 

50 ten Kanale abgestimmten Regelungsbetrieb ermoglicht 
und welche bei gegebener Funktionalitat mit ver- 
gleichsweise geringem Aufwand realisierbar isi 

Dieses Problem wird durch eine Regeleinrichtung mit 
den Merkmalen des Anspruchs 1 gelost Dazu beinhaltet 

55 die ZustandsgroBenermittlungseinheit eine Fehlerer- 
kennungs- und -isolationslogikeinheit, die in den Zu- 
standsgroBenermittlungskanalen auftretende Fehler zu 
erkennen und lokalisieren vermag. Dabei ist fur wenig- 
stens eine ZustandsgroBe, zweckmaBigerweise jeweils 

60 fur die besonders sicherheitskritischen ZustandsgroBen, 
eine dreikanalige ZustandsgroBenermittlung iiber zwei 
physikalische Kanale und einen analytischen Kanal vor- 
gesehen, wobei letzterer in Form einer einfachen funk- 
tionalen Redundanz oder aber vorzugsweise im Rah- 

6f. men eines Beobachterkonzepts iiber eine Beobachte- 
reinheit bereitgesteilt wird. In Verbindung mit dem Vor- 
handensein des analytischen Kanals ist gleichzeitig eine 
Fehlerisolation durch Voten zwischen dem vom analyti- 
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schen Kanal geschatzten W^^Bd den beiden, uber die 
zwei parallelen physikalischenfCanale erhahenen Wer- 
ten innerhalb der den analytischen Kanal realisierenden 
Einheit moglich, ohne daB dazu eine zusatzliche Voter- 
Logik benotigt wird. Durch geeignete Ansteuerung ei- 
nes Fehlerbehandlungsfilters wird erreicht, daB nur die 
jeweils noch mit ausreichender Zuverlassigkeit ermittcl- 
ten ZustandsgroBenwerte an die Regiereinheit geleitet 
werden. wahrend andere ZustandsgroBenwerte wegge- 
filtert werden. Ober die jeweils noch eingangsseitig an- 
stehenden ZustandsgroBenwerte oder gesteuert von 
der Fehlererkennungs- und -isolationslogikeinheit kann 
die Regiereinheit abgestuft in der jeweils noch bestmog- 
lichen Regelgutestufe betrieben werden, so daB je nach 
Wichtigkeil der betreffenden ZustandsgroBe bei Auf- 
treten eines Fehlers in einem zugchdrigen Ermittiungs- 
kanal die Regelung nicht unbedingt vollstandig deakti- 
viert zu werden braucht, sondern abgestimmt auf die 
Art des oder der Fehler mit einer niedrigeren Regelgu- 
testufe oder eventuell sogar mit gleichbleibender Regel- 
gutestufe fortgesetzt werden kann. Durch die Verwen- 
dung eines jeweiligen analytischen Kanais anstelle eines 
dritten parallelen physikalischen Kanais wird der Reali- 
sierungsaufwand bei gegebener Funktionalitat gering 
gehalten. 

In einer Weiterbildung der Erfindung nach Anspruch 

2 wird eine der ZustandsgroBen lediglich uber einen 
analytischen Kanal als Schatzung ermittelt, wobei die 
Fehlererkennungs- und -isolationslogikeinheit so einge- 
richtet ist, daB sie erkennt, wenn der analytische Kanal 
aufgrund eines oder mehrerer erkannter Fehler in der 
Ermittlung seiner EingangsgroBen keine ausreichend 
zuverlassige Schatzung mehr durchzufiihren vermag, 
wonach sie uber den Fehlerbehandlungsfilter eine Un- 
terdruckung dieser geschatzten ZustandsgroBe veran- 
iaBt. 

In einer Weiterbildung der Erfindung nach Anspruch 

3 ist die Fehlererkennungs- und -isolationslogikeinheit 
so ausgelegt, daB sie zu erkennen vermag, wenn auf- 
grund erkannter Fehler in den Zustandsgrofienermitt- 
lungskanalen die noch vorhandene ZustandsgroBenin- 
formation nicht mehr zur Durchfuhrung einer zuverlas- 
sigen Regelung des physikalischen Systems ausreicht, 
woraufhin sie den RegelungseinfluB auf das physikali- 
sche System unterbricht. 

In Anspruch 4 sind vorteilhafte Beobachterkonzepte 
fur die Fehlererkennungs- und -isolationslogikeinheit 
angegeben. 

Anspruch 5 charakterisiert eine komfortable und mit 
relativ geringem Aufwand realisierbare Fahrdynamik- 
regeleinrichtung, bei der die wichtigen ZustandsgroBen 
fehlertolerant jeweils einschlieBIich eines analytischen 
Kanais mehrkanalig ermittelt werden und die Regelung 
abgestimmt auf eventuelle Fehler bei der Zustandsgro- 
Benermittlung hinsichtlich der Regelgute mehrstufig er- 
folgt 

Eine bevorzugte Ausfuhrungsform der Erfindung ist 
in den Zeichnungen dargestellt und wird nachfolgend 
beschrieben. Hierbei zeigen: 

Fig. 1 ein schematisches Blockschaltbild einer fehler- 
toleranten Fahrdynamikregeleinrichtung eines Kraft- 
fahrzeugs, 

Fig. 2 eine schematische Funktionsstrukturdarstel- 
lung von Teilfunktionen einer in Fig. 1 verwendeten Zu- 
standsgroBenermittlungseinheit und 

Fig. 3 eine schematische Blockdarstellung einer fur 
die Einrichtung von Fig. 1 geeigneten, dreikanalig re- 
dundanten Gierwinkelgeschwindigkeitserrnitdung. 
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Ausgangspunkt fur^^verwendung einer fehlertole- 
ranten Fahrdynamikregeleinrichtung, wie in Fig. 1 dar- 
gestellt, ist die Tatsache, daB in ein solches, die Fahrdy- 
namik des Kraftfahrzeugs regelndes System diverse 
sensorielle EingangsgroBen einflieBen, die unmittelbar 
uber wenigstens einen physikalischen Kanal gemessen 
und/oder uber einen analytischen Kanal, beispielsweise 
unter Verwendung eines Beobachterkonzepts, ge- 
schatzt werden, wie in den eingangs envahnten Druck- 
schriften beschrieben. Treten Fehler oder Ausfalle in- 
nerhalb der verwendeten Sensoren auf, so beeinflussen 
diese sowohl den Beobachter, wodurch Schatzfehler 
entstehen, als auch den Fahrdynamikregler mit gegebe- 
nenfalls unerwiinschten Folgen. Aus diesem Grund ist 
man bestrebt, Fehler vor allem innerhalb der Sensorik, 
grundsatzlich jedoch auch innerhalb der Aktuatorik und 
der verwendeten Rechnerhardware zu einem moglichst 
friihen Zeitpunkt zu detektieren und derart zu behan- 
deln, daB der Beobachter bzw. die Regelung fehlerfrei 
funktionierea 

Mit dem in Fig. 1 gezeigten System lassen sich belie- 
bige Einfach- und auch teilweise Mehrfachfehler inner- 
halb der fur die Fahrdynamikregelung erforderlichen 
bzw. vorhandenen Sensorik unter Bereitstellung von 
Fehlertoleranz jedenfalls fur die besonders sicherheits- 
kritischen ZustandsgroBen erkennen, isolieren und be- 
handeln. Unter fsolierung ist hierbei nach Auftreten ei- 
nes Fehlers die Fahigkeit zur Identifizierung des fehler- 
behafteten ZustandsgroBenermittlungskanals zu verste- 
hen. Zu diesem Zweck beinhaltet die Fahrdynamikre- 
geleinrichtung von Fig. I, durch die das Fahrzeug (1) 
von einem Fahrdynamikregler (2) in seiner Fahrdyna- 
mik geregelt wird, eine speziell ausgelegte Zustandsgro- 
Benermittlungseinheit (3), die neben der ublichen Senso- 
rik (4) urn eine Fehlererkennungs- und -isolationslogik- 
einheit (5) und eine Fehlerbehandlungseinheit (6), z. B. in 
Form eines Filters, erweitert ist Gegenuber einem her- 
kommlichen Beobachterkonzept, bei dem innerhalb ei- 
ner Fahrdynamikregelung ein Beobachter zur Zu- 
standsgroBenschatzung, z. B. zur Schatzung des 
Schwimmwinkels, eingesetzt wird, ist beim vorliegen- 
den System der Beobachter zum Fehlerbehandlungsfil- 
ter (6) mit der vorgeschalteten Fehlererkennungs- und 
-isolationslogikeinheit (5) erweitert 

Wie aus Fig. 1 zu erkennen, werden die von der Sen- 
sorik (4) erfaBten ZustandsgroBenwerte (L) der Fehler- 
erkennungs- und -isolationslogikeinheit (5) und dem 
Fehlerbehandlungsfilter (6) parallel zugefuhrt. Dabei 
werden diejenigen ZustandsgroBen, fur die Fehlertole- 
ranz gefordert wird, iiber zwei paralleie Sensoren, d. h. 
uber zwei physikalische Kanale, redundant erfaBt Im 
Fehlerfall, der durch die Fehlererkennungs- und -isola- 
tionslogikeinheit (5) detektiert wird, kann dadurch der 
als fehlerhaft identifizierte physikalische Kanal im Feh- 
lerbehandlungsfilter weggeschaltet werden, ohne daB 
die Beobachtbarkeit der relevanten SchatzgrdBen be- 
eintrachtigt wird. Das Fehlerbehandlungsfilter (6) leitet 
somit die aus Messungen gewonnenen ZustandsgroBen- 
werte (z*) unmittelbar an den Fahrdynamikregler (2) 
weiter und sorgt dariiber hinaus fur die Bereitstellung 
nicht gemessener, geschatzier ZustandsgroBenwerte 
(x), wie sie mittels eines Beobachters gewonnen werden, 
als weitere EingangsgroBen fur den Fahrdynamikregler 
(2). Die Wegschaltung des fehlerbehafteten physikali- 
schen Kanais durch das Fehlerbehandlungsfilter (6) wird 
iiber eine Steuerleitung (5a) von der Fehlererkennungs- 
und -isolationslogikeinheit (5) ausgelost, die gleichzeitig 
die Nichtberucksichtigung dieses fehlerhaften Kanais in 
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ihrcr Beobachtereinhe^^Biehmen kann. Fur die Reali- 
sierung des Beo bacht^^nzep ts in der Fehlerken- 
nungs- und -isolationslogik (5) und dem Fehlerbehand- 
langsfilter (6) ist des weiteren das Ausgangssignal (u) 
cles Fahrdynamikreglers (2) zu diesen beiden Einheiten 
(5,6) ruckgefuhrt. 

Des weiteren ist die Fehlererkennungs- und -isola- 
tionslogikeinheit (5) so ausgeiegt, daB sie neben der Er- 
kennung und Isolation von Fehlern festzustellen ver- 
rnag, ob das Fehlerbehandlungsfiiter (6) mit den jeweils 
verbliebenen, nicht fehlerbehafteten physikalischen Ka- 
nalen in der Lage ist, die fur den Fahrdynamikregler (2) 
benotigten SchatzgroBenwerte (x) noch hinreichend gut 
zu schatzen. Ist dies nicht der Fall und somit die Beob- 
achtbarkeit als Folge einer gegenuber der Grundkonfi- 
guration zu stark verringerten Anzahl funktionstiichti- 
ger Sensorkanale nicht langcr gewahrleistet, wird das 
Fehlerbehandlungsfiiter (6) insgesamt durch die Fehler- 
erkennungs- und -isolationslogikeinheit (5) weggeschal- 
tet und die Regelung so umkonfiguriert, daB sie ohne die 
SchatzgroBen (x) noch funktioniert, soweit dies moglich 
ist Dazu ist der Fahrdynamikregler (2) zum Betrieb in 
unterschiedlichen Regelgutestufen ausgeiegt und kann 
iiber eine zugehorige Steuerleitung (5b) von der Fehler- 
erkennungs- und -isolationslogikeinheit (5) so angesteu- 
ert werden, daB er jeweils auf der momentan noch maxi- 
mal moglichen Regelgutestufe arbeitet, worauf weiter 
unten detaillierter eingegangen wird Die Fehlererken- 
nungs- und -isolationslogikeinheit (5) iiberwacht auBer- 
dem, ob die dem Fahrdynamikregler (2) nach Auftreten 
von Fehlern noch vom Fehlerbehandlungsfiiter (6) zu- 
gefuhrten gemessenen und/oder geschatzten Zustands- 
groBenwerte (z*, x) noch zur Durchfuhrung einer aus- 
reichend zuverlassigen und sicheren Fahrdynamikrege- 
lung ausreichen Wenn dies nicht mehr der Fall ist, deak- 
tiviert die Fehlerkennungs- und -isolationslogikeinheit 
(5) den Fahrdynamikregler (2) insgesamt oder jedenfalls 
hinsichtlich der Weiterleitung seines Reglerausgangssi- 
gnais(u). 

In Fig. 2 ist schematisch die Funktionsweise des 
SchwimmwinkeJbeobachters vereinfacht veranschau- 
licht Die Sensorik umfaBt eine Lenkradwinkelsensorik 
(7), eine Langs beschleunigungssensorik (8), eine Quer- 
beschleunigungssensorik (9, 10), eine Gierwinkelge- 
schwindigkeitssensorik (11) und eine Raddrehzahlsen- 
sorik (12). Dabei ist die Lenkradwinkelsensorik (7) mit- 
tels eines sich selbst priifenden Sensors und eines weite- 
ren Sensors physikalisch zweikanalig fehlertolerant ge- 
staltet Die Langsbeschleunigungssensorik (8) ist physi- 
kalisch einkanalig implementiert und wird lediglich zur 
Schwimmwinkelschatzung benotigt Die Querbeschleu- 
nigungssensorik beinhaltet einen vorderen Querbe- 
schleunigungssensor (9) und einen hinteren Querbe- 
schleunigungssensor (10), mit deren Ausgangssignaie 
zum einen in einer nachgeschalteten Einheit (13) die 
Schwerpunktsquerbeschleunigung (a ys ) und zum ande- 
ren in einer weiteren nachgeschalteten Einheit (15) die 
Gierwinkelbeschleunigung (iff) ermittelt werden. Die 
Gierwinkelgeschwindigkeitssensorik (1 1) beinhaltet 
zwei voneinander unabhangige Gierwinkelgeschwin- 
digkeitssensoren. Das Gierwinkelgeschwindigkeitssi- 
gnal wird hierbei zu einer Einheit (14) zur Bestimmung 
der Gierwinkelbeschleunigung abgezweigt, wonach ei- 
ne nachgeschaltete Vergleichseinheit (16) aus diesem 
Beschleunigungswert und dem uber die Querbeschleu- 
nigungssensorik (9, 10, 15) erhaltenen Beschleunigungs- 
wert die endgiiltige Gierwinkelbeschleunigung (\j>) be- 
stimmt. Die Raddrehzahlsensorik (12) beinhaltet jeweils 



einen induktive^^Br Hall-Sensor an alien vier Fahr- 
zeugradern, wie^^Vntiblockiersysterne gebrauchlich. 
Diese physikalisch vierkanalige Struktur ermdglicht ei- 
ne Plausibilitatsprufung sowie Fehierlokalisation und 
5 -behandlung, die vier Kanale besitzen jedoch unter- 
schiedliche Aussagequalitaten, da die stark schlupfbe- 
haftete Raddrehzahlinformation von den Antriebsra- 
dern nicht permanent fur die Regelung geeignet ist, so 
daB es sich bezuglich der Regelung urn eine 1-von- 
io 2-Struktur bezuglich der beiden nicht angetriebenen 
Rader handelt Eine nachgeschaltete Einheit (17) wan- 
delt die Raddrehzahlinformation in eine Langsge- 
schwindigkeitsinformation urn. Bei Funktion des 
Schwimmwinkelbeobachters wird jedoch dessen 
15 Schatzwert der Langsgeschwindigkeit an die Fahrdyna- 
mikregelung weitergeleitet 

Neben diesen auf Messungen gestutzten Zustands- 
groBen werden als weitere ZustandsgroBen der Lenk- 
winkel am Rad und der Schwirnmwinkel verwendet, wo- 
20 bei der Lenkwinkel am Rad iiber eine Lenkwinkelmo- 
torausgangsgroBe bestimmt wird, wahrend der 
Schwirnmwinkel (p) als die in Fig. 1 gezeigte Schatzgro- 
Be (x) vom Beobachter im Fehlerbehandlungsfiiter (6) 
geschatzt wird. Dazu beinhaltet das Fehlerbehandlungs- 
25 filter (6) einen Systemmodellteil (17), einen Beobach- 
tungsmodellteil (18) und eln nachgeschaltetes Kalman- 
Filter als Schwimmwinkelbeobachter (19), wobei aus 
Fig. 2 hervorgeht, welche EingangsgroBen in jede der 
drei Komponenten einflieBeit Neben dieser Schat- 
3.) zungsfunktion leitet das Fehlerbehandlungsfiiter (6) die 
aus fehlerfreien physikalischen Kanalen ermittelten Zu- 
standsgroBen an den Fahrdynamikregler (2) weiter, der 
daraus ais fahrdynamikregelndes Ausgangssignal den 
Lenkwinkelsollwert (8 S ) erzeugt Die weitergeleiteten 
35 ZustandsgroBen sind der Lenkradwinkel (6l), die Langs- 
geschwindigkeit (v x ), die Gierwinkelgeschwindigkeit ( 
\|/), die Gierwinkelbeschleunigung (<j>), die Schwer- 
punktsquerbeschleunigung (a ys ) und der Schwirnmwin- 
kel (P). 

40 Des weiteren sind diese gemaB Fig. 2 uber physikali- 
sche Kanale erfaBten ZustandsgroBen der Fehlererken- 
nungs- und -isolationslogikeinheit (5) zugefuhrt, die mit- 
tels zusatzlicher Bereitstellung analytischer Kanale 
nicht nur eine FehJererkennung, sondern jedenfalls fur 
45 einen Teil der ZustandsgroBen auch eine Fehlerisolation 
und Fehlerbehandlung leistet. Eine Moglichkeit der 
Realisierung eines analytischen Kanals fur eine uber 
zwei physikalische Kanale redundant gemessene Zu- 
standsgroBe besteht in der Bereitstellung einer funktio- 
50 naien Redundanz, bei der physikalische Zusammenhan- 
ge zwischen der Information der beiden physikalischen 
Kanale sowie zusatzlicher Information beispielsweise 
uber andere ZustandsgroBen ausgenutzt werden. Ein 
soiches Konzept ist in Fig. 3 schematisch und beispiel- 
55 haft fur die Ermittlung der Gierwinkelgeschwindigkeit ( 
V) veranschaulicht Ober zwei Gierwinkelgeschwindig- 
keitssensoren (Si, S 2 ) werden unabhangig voneinander 
zwei Gierwinkelgeschwindigkeits-MeBwerte ( \j/ m i, 
vj/m2) generiert und einem funktionalen Kanal (A) zuge- 
60 fuhrt, der daraus und/oder aus weiteren Zustandsgro- 
Ben einen analytischen Gierwmkelgeschwindigkeits- 
wert ( y a ) beispielsweise aufgrund eines bekannten ma- 
thematischen Zusarnmenhangs mit anderen GroBen, 
wie den einzelnen Radgeschwindigkeiten, ermittelt. 
65 Gleichzeitig bestimmt der analytische Kanal (A) die je- 
weilige Abweichung zwischen dem analytischen Wert ( 
v|/ a ) und den gemessenen Werten ( y mU y„a) t wodurch 
nicht nur ein eventueller Fehler erkannt, sondern zudem 
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der verursachende Kanal a^^Bnden werden .<ann. 
Durch Wegschahen des betrelrenden Kanals laBt sich 
daraufhin dieser Fehler behandeln, und als Ausgangssi- 
gnal wird ein mit hoher Sicherheit korrektes Zustands- 
groBensignal erhalten, das mindestens auf einem oder 
meistens zwei fehlerfreien Kanalen basierL Diese Art 
der Datenfusion, d. h. der Gewichtung der zur Verfii- 
gung stehenden Sensorinformationen entsprechend ih- 
rer Zuverlassigkeiten und spezifiziert durch ihre stocha- 
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laubL Ober eine Steue^^phg (5b) aktiviert die Fehier- 
erkennungs- und -isolationslogikeinheit (5) jeweils das- 
jenige Modui des Fahrdynamikreglers (2), mit dem die 
Fahrdynamikregelung in der situationsabhangig je nach 
aufgetretenen Fehlern noch maximal moglichen Regel- 
giite durchgefuhrt wird. Im einzelnen ergibt sich hierzu 
folgendes. 

Bei Fehlerfreiheit des Systems liegen die GroBen 
Lenkradwinkel (6l), Langsgeschwindigkeit (v x ), Gier- 



stischen Eigenschaften, ermogiicht eine Erhohung der io winkelgeschwindigkeit ( und Querbeschleunigung 
MeBgenauigkeit. Das Vorsehen eines analytischen Ka- (a y ) fehlertoierant in dem Sinne vor, daB uber physikali- 
nals anstelle eines dritten physikalischen Kanals bedeu- sche Kanale und analytische Kanale Fehler zuverlassig 
let zudem eine Einsparung eines Sensors nebst dessen von der Fehlererkennungs- und -isolationslogikeinheit 
Energieversorgung und Verkabelung, d h. eine Einspa- (5) erkannt, lokalisiert und behandelt werden konnen, so 
rung an Platzbedarf, Kosten und Gewicht Zudem wird 15 daB die Information uber die betreffende Zustandsgro- 



keine separate Voting- Logik benotigt. 

Alternativ zu einem funktionalen Kanal kann der ana- 
lytische Kanal durch Verwendung eines Beobachter- 
konzepts bereitgestellt werden, was insbesondere dann 
zweckmaBig ist, wenn einfache funktionale Zusammen- 
hange zwischen ZustandsgroBen fehlen. Im vorliegen- 
den Fall ist die Verwendung von Beobachtern ebenfaUs 
zu bevorzugen, da das Fahrverhalten eines Kraftfahr- 
zeugs im fahrdynamischen Grenzbereich sehr komplex 
ist und gerade hier die volJe Leistungsfahigkeit der 
Fahrdynamikregelung gewiinscht wird Neben der Ver- 
wendung einer einzigen Beobachtereinheit zur Uber- 
wachung samtlicher sicherheitsreJevanter Sensoren 
bzw. Komponenten ist die Verwendung von Beobach- 
terbanken moglich, bei denen fur jeden zu uberwachen- 
den Kanal eine Beobachtereinheit vorgesehen ist. Dabei 
kann es fur weniger komplexe Modelle ausreichen, in 
jede Beobachtereinheit nur einen Sensor einflieBen zu 
lassen, wahrend eine mit hoherem Berechnungsaufwand 
verbundene Methode darin besteht, jeden Beobachter 
mit einem unterschiedlichen Satz von EingangsgroBen 
zu speisen, wodurch die Beobachterbank sehr robust 
gegenuber Modellierungsfehlern wird 

Beispielsweise kann fur eine physikalisch zweikanaiig 
erfaBte Querbeschleunigung jedem physikalischen Ka- 
nal eine Beobachtereinheit zugeordnet sein, wobei in 
jede Beobachtereinheit alle ZustandsgroBeninformatio- 
nen einflieBen mit Ausnahme der von der jeweils ande- 
ren Beobachtereinheit zu schatzenden AusgangsgroBe. 
Einer dritten Beobachtereinheit als Referenz konnen 
alle ZustandsgroBeninformationen zugefuhrt sein. Eine 
Korrelation der Ausgangssignale der den beiden physi- 
kalischen Kanalen zugeordneten Beobachtereinheiten 
ermogiicht eine Fehlererkennung, wahrend eine jeweili- 
ge Korrelation jeder dieser beiden Beobachtereinheiten 
mit der Referenz-Beobachtereinheit nebst anschlieBen- 
dem Vergleich der Korrelationsergebnisse die Lokali- 
sierung eines aufgetretenen Fehlers im einen oder ande- 
ren physikalischen Kanal der Querbeschleunigungser- 
mittlung ermoglichL Fur weitere Details von Beobach- 
terkonzepten kann auf die eingangs genannten Druck- 
schriften und die dort zitierte Literatur verwiesen wer- 
den. 

Die Fahigkeit der solchermaBen ausgelegten Zu- 
standsgroBenermittelungseinheit (3) zur Erkennung, 
Isolation und Behandlung von Fehlern wird vorliegend 
dazu ausgenutzt, die Fahrdynamikregelung mit abge- 
stufter Regelgiite je nachdem, ob und wenn ja welche 
Fehler aufgetreten sind, zu betreiben. Dazu ist der Fahr- 
dynamikregler (2) fur einen Betrieb in mehreren Regel- 65 
gutestufen ausgelegt, wozu er einen geeigneten modula- 
ren Aufbau besitzt, so daB jedes Reglermodul eine Fahr- 
dynamikregelung mit einer zugehorigen Regelgiite er- 
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Be auch nach Auftreten eines Fehlers erhalten bleibt 
Nach einer Fehlerbehandlung degeneriert die zugehori- 
ge ZustandsgroBe meist zur Fehlersicherheit, was be- 
deutet, daB ein weiterer, sich auf diese ZustandsgroBe 
beziehender Fehler innerhalb der Sensorik (4) zwar 
noch erkannt, jedoch nicht mehr zuverlassig auf einen 
Kanal lokalisiert werden kann. Die betreffende Zu- 
standsgroBeninformation wird dann von der Fehlerer- 
kennungs- und -isolationslogikeinheit (5) fur die Fahrdy- 
namikregelung verworfen, was zu einer Abnahme der 
Regelgiite, jedoch nicht zwangslaufig zum Ausfall der 
gesamten Fahrdynamikregelung fuhrt. Die Langsbe- 
schleunigung (a x ), die nur zur Schwirnmwinkelschatzung 
verwendet wird, liegt hingegen physikalisch ledigiich 
einkanaiig vor. Bei Auftreten von Fehlern ergibt sich 
damit folgendes Reglerverhalten. 

Bei Auftreten eines Fehlers im Langsbeschleuni- 
gungskanal wird der Regler von seiner hochsten Regel- 
gute n 4" auf die nachst niedrige Regelgiite "3" zuriickge- 
nommen, in welcher die Fahrdynamikregelung unter 
Verzicht auf den Schwimmwinkelschatzwert erfolgt Bei 
Auftreten eines ersten Fehlers in einer der vier anderen, 
fehlertoierant erfaBten ZustandsgroBen bleibt hingegen 
zunachst die bisherige Regelgute erhalten, und die Er- 
mittlung der betreffenden ZustandsgroBe degeneriert 
durch das f ehlerbehandelnde Wegschalten des fehlerbe- 
hafteten Kanals von zuvor fehlertoierant zu nunmehr 
nur noch fehlersicher. Tritt fur die Querbeschleunigung 
(a y ) nach einem behandelten ersten Fehler ein zweiter 
Fehler auf, so wird der Fahrdynamikregler (2) auf die 
zweitniedrigste Regelgiite (2) zuruckgenommen, in der 
die Fahrdynamikregelung eingeschrankt ohne die Quer- 
beschJeunigungsinformadon weitergefuhrt wird. Hin- 
sichtlich der Langsgeschwindigkeit (v x ) sind Mehrfach- 
fehler wegen der vier vorhandenen Sensorkanale, die 
allerdings, wie gesagt, nicht gleichwertig sind, trotz der 
Tatsache toierabel, daB es sich hier urn eine wichtige 
ZustandsgroBe handelt Nach Auftreten eines Doppel- 
fehlers in der Langsgeschwindigkeitsermittlung wird 
der Fahrdynamikregler auf die niedrigste Regelgutestu- 
fe "1" zuruckgenommen, in welcher dann die Langsge- 
schwindigkeit zwar weniger gesichert, jedoch noch im- 
mer physikalisch zweikanaiig vorliegt Bei Auftreten 
noch eines dritten Fehlers bei der Langsgeschwindig- 
keitsermittlung liegt daher die Langsgeschwindigkeits- 
information immer noch einkanaiig vor, so daB die Fahr- 
dynamikregelung in dieser Regelgutestufe "1" weiterge- 
fuhrt werden kann. Im Gegensatz dazu ist hinsichtlich 
der ZustandsgroBen Lenkradwinkel (8l) und Gierwin- 
kelgeschwindigkeit ( bei denen es sich ebenfalls urn 
sehr reievante ZustandsgroBen fur die Fahrdynamikre- 
gelung handelt, bei Auftreten eines zweiten Fehlers 
nach vormaliger Behandlung eines ersten Fehlers eine 
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Fortsetzung der Fahrdyfl^Plregelung aus Sicherheits- 
griinden nicht mehr moglich, da die betreffende Zu- 
standsgroBeninformation dann nicht mehr als gesichert 
betrachtet werden kann. In diesem Fall wird der Notbe- 
trieb aktiviert Im Notbetrieb ist es dem Fahrer moglich, «. 
das Fahrzeug in einen sicheren Zustand zu iiberfuhren, 
z. B. in den Fahrzeugstillstand. 

Mit der beschriebenen Fahrdynamikregeleinrichtung 
wird somit fur wenigstens einen Teil der Zustandsgro- 
Ben eine auf einer physikalisch zweikanaligen Struktur hi 
basierende Fehlertoleranz durch Erweiterung urn einen 
analytischen Kanal gewonnen, der adaptiver Natur ist 
Im einem ersten Adaptionsgrad konnen unterschiedli- 
che Strategien in Anpassung an das jeweilige Fahrdyna- 
mikszenario verfolgt werden, innerhalb der sich in ei- 15 
nem zweiten Adaptionsgrad wiederum verschiedene 
Anpassungsmoglichkeiten unter Zunahrne oder Abnah- 
me der Komplexitat dahingehend bieten, daB das jewei- 
lige, in einem Beobachter oder allein fur die abbildende 
Information verwendete Modell modifiziert wird In ei- 20 
nem dritten Adaptionsgrad kann bei vorgegebenem 
Modell eine Variation der im Beobachter, insbesondere 
einem Kalman-Filter, verwendeten Varianzen in Anleh- 
nung an das jeweilige Fahrdynamikszenario vorgesehen 
werden. In einem vierten Adaptionsgrad werden inner- 25 
halb des Beobachters fur die Fehlererkennung und -iso- 
lation verschiedene GroBen uberwacht, z. B. im Fall ei- 
nes Kalman-Filters Schatzwerte, Schatzwertfehler, Pro- 
jektionen von Schatzwerten auf MeBwerte, Residuen, 
Komponenten der Kovarianzen des Pradiktions- und 30 
Filterschatzwertes oder die Kalman-Verstarkung. Mit 
den genannten Adaptionen konnen zu Fehlalarmen fiih- 
rende Modellierungsfehler minirniert werden, so daB ei- 
ne zuverlassige Erkennung und Isolation von Kleinst- 
fehlern uber den gesamten Fahrdynamikbereich erzielt 35 
wird. Als interessanter Zusatz besteht die Moglichkeit, 
fiir den in der ZustandsgroBenermittlungseinheit ver- 
wendeten Beobachter nicht die Minimierung des 
Schatzwertfehlers, sondern eine andere Aufgabe in den 
Vordergrund zu stellen, z. B. die Minimierung eines Re- 40 
sidiums im f ehlerfreien Fall bzw. die Bereitstellung einer 
hohen Empf indlichkeit gegeniiber Kleinstfehlern der re- 
levanten EingangsgroBen bei hoher Resistenz gegen- 
iiber Schatzwertfehlern. Im Gegensatz zu herkommli- 
chen Systemen mit Fehlerlokalisation im Automobil, bei 45 
denen lediglich Fehler detektiert werden, die ein Verlas- 
sen des SensormeBbereichs bewirken, lassen sich mit 
der vorliegenden Einrichtung Kleinstfehler zuverlassig 
erkennen, lokalisieren und behandeln und Modellie- 
rungsfehler weitestgehend unterdriicken. Es versteht 50 
sich, daB erfindungsgemaBe Fehlererkennungs, — isola- 
tions und -behandlungseinrichtungen der vorstehend 
beschriebenen Art nicht auf Fahrdynamikregelungen 
beschrankt sind, sondern sich auch fiir einen Einsatz in 
anderen Systemen eignen, fur die eine fehlertolerante 55 
Auslegung gewunscht wird. 

Patentanspriiche 

1. Fehlertolerante Regel- und/oder Steuerungsein- eo 
richtung fiir ein physikalisches System, insbesonde- 
re Fahrdynamikregeleinrichtung fur ein Kraftfahr- 
zeug.mit 

a) einer in Abhangigkeit von zugefuhrten Zu- 
standsgroBenwerten (z*, £) arbeitenden Regel- et 
und/oder Steuereinheit (2) und 

b) einer ZustandsgroBenermittlungseinheit (3) 
zur Ermittlung der der Regel- und/oder 



10 

Steuere^^^P zuzufuhrenden Zustandsgro- 
Benwerte, wozu die jeweilige ZustandsgroBe 
uber einen oder zwei parallele physikalische 
Kanale gemessen und/oder uber einen analyti- 
schen Kanal geschatzt wird, dadurch gekenn- 
zeichnet, daB 

c) die ZustandsgroBenermittlungseinheit (3) ei- 
ne Fehlerbehandlungseinheit (6), die steuerbar 
die Zufiihrung eines jeweiligen Zustandsgro- 
Benwertes zur Regel- und/oder Steuereinheit 
(2) freigibt oder blockiert, und eine Fehlerer- 
kennungs- und -isolationslogikeinheit (5) auf- 
weist, welche einen in einem Kanal auftreten- 
den Fehler erkennt und fiir wenigstens eine 
uber zwei parallele physikalische Kanale und 
einen analytischen Kanal redundant ermittelte 
ZustandsgroBe einen erkannten Fehler mittels 
einer funktionale Redundanz erzeugenden 
Einheit oder einer Beobachtereinheit des ana- 
lytischen Kanals isoliert und welche das Feh- 
lerbehandlungsfilter zur Blockierung des zum 
erkannten bzw. isolierten Fehler gehorigen 
Kanals ansteuert, und 

d) die Regel- und/oder Steuereinheit zum Be- 
trieb in unterschiedlichen Regelgutestufen ab- 
hangig davon, welche der Kanale der Zu- 
standsgrdBenermittlungseinheit als fehlerfrei 
erkannt sind, ausgelegt ist, wobei sie von der 
ZustandsgroBenermittlungseinheit jeweils 
zum Betrieb in derjenigen Regel- und/oder 
Steuerungsgiitestufe veranlaBt wird, die in Ab- 
hangigkeit von den rnomentan als fehlerfrei 
erkannten Kanalen noch maximal moglich ist 

2. Regel- und/oder Steuerungseinrichtung nach An- 
spruch 1, weiter dadurch gekennzeichnet, daB eine 
der ZustandsgroBen nur einkanalig iiber einen ana- 
lytischen Kanal ermittelt wird und die Fehlererken- 
nungs- und -isolationslogikeinheit (5) eine nicht 
mehr ausreichend zuverlassig mdgiiche Schatzung 
aufgrund eines oder mehrerer fehlerbehafteter Ka- 
nale fur die Ermittlung der EingangsgroBen dieses 
analytischen Kanals erkennt und daraufhin das 
Fehlerbehandlungsfilter (6) zur Blockierung der 
Weiterleitung des Ausgangssignals dieses analyti- 
schen Kanals zur Reglereinheit (2) ansteuert. 

3. Regel- und/oder Steuerungseinrichtung nach An- 
spruch 1 oder 2, weiter dadurch gekennzeichnet, 
daB die Fehlererkennungs- und -isolationslogikein- 
heit (5) eine nicht mehr ausreichend zuverlassige 
und/oder gesicherte Regelung durch die Reglerein- 
heit (2) aufgrund des Voriiegens eines oder mehre- 
rer fehlerbehafteter ZustandsgroBen ermittlungs- 
kanale erkennt und daraufhin die Beeinflussung des 
physikalischen Systems durch das Ausgangssignal 
der Reglereinheit unterbindet 

4. Regel- und/oder Steuerungseinrichtung nach ei- 
nem der Anspriiche 1 bis 3, weiter dadurch gekenn- 
zeichnet, daB die ZustandsgroBenermittlungsein- 
heit (3) eine gemeinsame Beobachtereinheit zur 
Uberwachung mehrerer physikalischer Kanale 
oder eine Beobachterbank mit jeweils einer Beob- 
achtereinheit zur Oberwachung eines jeweils zuge- 
ordneten physikalischen Kanals beinhaltet 

5. Regel- und/oder Steuerungseinrichtung nach ei- 
nem der Anspriiche 1 bis 4, weiter dadurch gekenn- 
zeichnet, daB sie eine Fahrdynamikregeleinrich- 
tung fiir ein Kraftfahrzeug ist, wobei 

— der Lenkradwinkel (Sl), die Gierwinkelge- 
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schwindigkeit ( \\t\ 



Querbeschleunigung 



(a y ) und die Langsgescnwindigkeit(v x ) als uber 
jeweils wenigstens zwei physikaJische Kanaie 
und einen analytischen Kanal redundant ermit- 
telte ZustandsgrdBen und der Schwimmwinkel 5 
als wenigstens liber einen analytischen Kanal 
geschatzte ZustandsgroBe herangezogen wer- 
denund 

— die Reglereinheit (2) in verschiedenen Re- 
gelgiitestufen abhangig vom Auftreten einer 10 
oder mehrerer Fehler in den ZustandsgrdBen- 
ermittlungskanalen arbeitet 
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